W32/Mydoom.N. Se propaga por e-mail y redes P2PNombre: W32/Mydoom.N
Tipo: Gusano de Internet
Alias: Mydoom.N, Mydoom.Q, MyDoom.L, Mydoom.M, W32/MyDoom-N, I-Worm.Mydoom.L, I-Worm.Mydoom-l, W32.Mydoom.L@MM, W32/Mydoom.M.worm, W32/Mydoom.n@MM, W32/Mydoom-A, Win32/Mydoom.Q, WORM_MYDOOM.L
Fecha: 19/jul/04
Plataforma: Windows 32-bit
Tamaño: 21,008 bytes; 22,252 bytes; 35,052 bytes (UPX)
Puertos: TCP/1042
Gusano escrito en Visual C++, que se propaga por correo electrónico y redes P2P. Utiliza su propio motor SMTP.
Abre una puerta trasera (backdoor) por el puerto TCP/1042, que permite a un usuario remoto ejecutar ciertas acciones en los equipos infectados.
Puede llegar en un mensaje con las siguientes características:
De: [nombre], [usuario@]+[dominio]
Donde [nombre] es uno de los siguientes:
Automatic Email Delivery Software
Bounced mail
Mail Administrator
Mail Delivery Subsystem
MAILER-DAEMON
noreplypostmaster
Post Office
Postmaster
Returned mail
The Post Office
[usuario@] es uno de los siguientes:
noreply@
MAILER-DAEMON@
postmaster@
Y [dominio] es el mismo dominio del destinatario del mensaje
Asunto: puede ser uno de los siguientes:
click me baby, one more time
delivery failed
Delivery reports about your e-mail
error
hello
hi
Mail System Error - Returned Mail
Message could not be delivered
report
Returned mail: Data format error
Returned mail: see transcript for details
say helo to my litl friend
status
test
Texto del mensaje:
El mensaje puede estar vacío, o contener alguno de los siguientes textos, seguido de partes de otros mensajes legítimos, obtenidos en la máquina infectada:
Ejemplo 1:
The original message was included as attachment.
Ejemplo 2:
This Message was undeliverable due to the following
reason:
Your message was not delivered because the destination
computer was not reachable within the allowed queue
period. The amount of time a message is queued before
it is returned depends on local configura-tion
parameters.
Most likely there is a network problem that prevented
delivery, but it is also possible that the computer is
turned off, or does not have a mail system running
right now.
Your message was not delivered within [número al azar]
days:
Host [dirección IP al azar] is not responding.
The following recipients did not receive this message:
[dirección destinatario]
Please reply to postmaster@[dominio destinatario] if
you feel this message to be in error.
Ejemplo 3:
The original message was received at [fecha y hora] from
[dirección destinatario] [dirección IP]
-- The following addresses had permanent fatal errors -
[dirección destinatario]
----- Transcript of session follows -----
while talking to [dirección destinatario].:
>>> MAIL From:[dirección remitente]
<<< 501 [dirección remitente]... Refused
Ejemplo 4:
The original message was received at [hora y fecha]
from [dirección destinatario] [dirección IP]
---The following addresses had permanent fatal errors ---
[dirección destinatario]
Ejemplo 5:
Message could not be delivered
Datos adjuntos: [nombre]+[extensión]
Donde [nombre puede ser uno de los siguientes]:
[caracteres al azar]
attachment
document
file
letter
mail
message
postmaster
readme
text
transcript
Y [extensión] una de las siguientes:
.bat
.cmd
.com
.exe
.pif
.scr
.zip
Los adjuntos con extensión .ZIP son archivos comprimidos y contienen un archivo con nombre al azar y a veces dos extensiones separadas por una gran cantidad de espacios.
Cuando se ejecuta el gusano, se crea el siguiente archivo:
c:\windows\lsass.exe
El gusano crea las siguientes entradas en el registro, las dos primeras para autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Traybar = c:\windows\lsass.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Traybar = c:\windows\lsass.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\POSIX
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\POSIX
Para propagarse, el gusano extrae direcciones de correo de archivos con las siguientes extensiones en el equipo infectado:
.adb
.asp
.dbx
.doc
.ht
.htm
.html
.ph
.pl
.sht
.tbb
.tx
.txt
.wab
El gusano evita enviarse a aquellas direcciones que contengan alguno de los siguientes textos en su nombre:
.gov
.mil
abus
accoun
admi
anyone
arin.
avp
bar.
bug
ca
contact
contact
crosoft
domain
example
feste
foo.
gmail
gnu.
gold-certs
google
gov.
help
hotmail
info
labs
listserv
master
math
mcrosoft
me
msn.
no
nobody
noone
not
nothing
ntivi
ophos
page
panda
priacycertific
rarsoft
rating
ripe.
root
sample
samples
sarc.
seclist
secure
secure
service
sf.net
site
soft
someone
sourceforge
spam
spersk
submit
suppor.
syma
the.bat
update
uslis
winzip.
you
your.
Para propagarse por redes P2P, se copia en aquellas carpetas cuyos nombres contengan algunos de estos textos:
download
ftproot
incoming
shar
Utiliza los siguientes nombres de archivos para crear sus copias en dichas carpetas:
Harry Potter
ICQ 4 Lite
index
Kazaa Lite
Winamp 5.0 (en)
Winamp 5.0 (en) Crack
WinRAR.v.3.2.and.key
Dichos archivos pueden tener cualquiera de las siguientes extensiones:
.com
.exe
.scr
.ShareReactor.com
El gusano puede cerrar las ventanas cuyos títulos contengan cualquiera de los siguientes textos:
rctrl_renwnd32
ATH_Note
IEFrame
También puede finalizar las tareas en ejecución, cuyos nombres contengan algunas de las siguientes cadenas, pertenecientes a conocidos antivirus y cortafuegos:
avp.
avp32
intrena
mcafe
navapw
navw3
norton
reged
taskmg
taskmo
Para no ejecutarse más de una vez en memoria, utiliza como semáforo el siguiente mutex (creado cada vez que el gusano está en memoria ejecutándose):
jmydoat%smtx
Más información:
http://www.vsantivirus.com/mydoom-n.htmW32/Puce.A. Infector parásito de ejecutablesNombre: W32/Puce.A
Tipo: Virus infector de archivos
Alias: Puce.A, W32/Puce, W32/Puce-A, Win32.HLLP.Rile.a, Win32.Puce.A, Win32/HLLP.Puce.A, Win32/Puce.A
Fecha: 14/jul/04
Plataforma: Windows 32-bit
Tamaño: 17 Kb aprox. (va aumentando en cada infección)
Se trata de un virus escrito en Borland C++, del tipo parásito, infector de archivos con extensión .EXE.
El virus busca archivos para infectar en todas las unidades de disco, de la C a la Z, incluidas unidades mapeadas.
Inyecta su propio código en los archivos infectados, ejecutándose cada vez que uno de los archivos originales es llamado. Cuando ello sucede, el virus permanece en memoria hasta que finaliza la ejecución. Mientras el virus está en memoria, procede a infectar a otros archivos.
Debido a la técnica usada, el virus va aumentando el tamaño del código inyectado a medida que se propaga.
Los archivos infectados conservan los mismos atributos, incluyendo fecha y hora.
Para no ejecutarse más de una vez en memoria, utiliza el siguiente mutex como semáforo:
pUcE
Si se ejecuta un día 26 de cualquier mes, el virus interfiere con los movimientos del puntero del ratón, afectando su desplazamiento en forma randómica, cada dos segundos aproximadamente.
Los iconos de los programas infectados no varían, pero las propiedades de los mismos cambian por las siguientes:
Versión del archivo: 1.0.0.0
Comentarios: Enjoy !
Idioma: French (France)
Nombre de la organización: pUcE Software
Nombre del producto: pUcE
Versión del producto: 1.0.0.0
El virus puede copiarse en unidades mapeadas en red, por lo que puede propagarse a través de ellas.
En ocasiones puede corromper el archivo original, dejándolo inutilizable.
También puede crear a veces la carpeta "MSN6" en la siguiente ubicación:
c:\Documents and Settings
\Administrator\Application Data\MSN6
Más información:
http://www.vsantivirus.com/puce-a.htmW32/Gaobot.UC. Se copia como "wmmon32.exe"Nombre: W32/Gaobot.UC
Tipo: Gusano de Internet y caballo de Troya
Alias: Gaobot.UC, Agobot.UC, WORM_AGOBOT.UC, WORM_AGOBOT.GEN, Backdoor.Agobot.gen, W32/Gaobot.worm.gen, W32.HLLW.Gaobot.gen
Fecha: 21/jul/04
Plataforma: Windows NT, 2000 y XP
Puertos: TCP/135, TCP/445, TCP/80
Tamaño: 113,190 bytes
Es un gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.), valiéndose de conocidas vulnerabilidades:
Falla crítica en servidores Microsoft IIS 5.0 (MS03-007)
http://www.vsantivirus.com/vulms03-007.htmMS03-039 Ejecución de código en servicio RPCSS (824146)
http://www.vsantivirus.com/vulms03-039.htmWindows XP vulnerable al acceso no autorizado (MS01-059)
http://www.vsantivirus.com/vulms01-059.htmElevación de privilegios en las tareas de SQL Server
http://www.vsantivirus.com/vulms-059-060-061.htmMS04-011 Actualización crítica (LSASS) (835732)
http://www.vsantivirus.com/vulms04-011.htmUn intruso pueda acceder en forma remota a la computadora infectada, a través del IRC.
Se ejecuta solo en Windows NT, 2000 y XP, e intenta robar contraseñas y claves de conocidos juegos de computadora.
Se copia en el sistema infectado con el siguiente nombre:
c:\windows\system32\wmmon32.exe
También copia la siguiente utilidad que no posee código viral. Es una herramienta legítima usada por el gusano para su propagación:
c:\windows\system32\npf.sys
Más información:
http://www.vsantivirus.com/gaobot-uc.htmTroj/Sconato.B. Roba información confidencialNombre: Troj/Sconato.B
Tipo: Caballo de Troya
Alias: Sconato.B, Troj/Sconato-B, Win32/Sconato.B
Fecha: 21/jul/04
Plataforma: Windows 32-bit
Caballo de Troya con acceso por puerta trasera (backdoor), capaz de robar información confidencial de los equipos infectados.
Cuando el troyano se ejecuta, crea los siguientes archivos:
c:\windows\system\sysconnect.dll
c:\windows\system\winmgmt.dll
\TEMP\#3004-19-07-2004.doc
NOTA 1: "c:\windows\system" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows 9x y ME, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system32" en Windows XP y Windows Server 2003).
NOTA 2: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.
El troyano despliega luego el contenido de #3004-19-07-2004.DOC, que es un texto con el siguiente título:
The North Atlantic Treaty
Para autoejecutarse en cada sesión de Windows, crea las siguientes entradas en el registro:
HKCR\CLSID
\{??????-????-????-????-????????????}\InprocServer32
(Predeterminado) = c:\windows\system\sysconnect.dll
HKCR\CLSID
\{??????-????-????-????-????????????}\InprocServer32
ThreadingModel = Apartment
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\Installer\InstallerParameters
HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\ShellServiceObjectDelayLoad\
SysConnect = {??????-????-????-????-????????????}
Donde {??????-????-????-????-????????????} es un identificador de clase único (CLSID), un valor de 128 bits generado por el troyano.
Se apunta la subclave "InprocServer32" a la librería del troyano para ponerla en funcionamiento cuando se ejecuta un evento determinado. El valor "ThreadingModel" con el dato "Apartment", indica que el objeto solo puede ejecutar un solo hilo.
Luego se suplantan valores predeterminados de Windows por una llamada a la Class ID creada por el troyano.
El troyano monitorea la salida del teclado, y captura todas las pulsaciones ingresadas por el usuario infectado. Luego envía los datos obtenidos y otra información del sistema, a una dirección de correo en Rusia. Por la puerta trasera instalada, también recibe un mensaje desde dicha dirección.
Más información:
http://www.vsantivirus.com/troj-sconato-b.htmW32/Spy.Tofger.AA. Se ejecuta desde archivo HTML o PHPNombre: W32/Spy.Tofger.AA
Tipo: Caballo de Troya
Alias: Troj/Tofger-AA, MultiDropper-GP.d, TrojanDownloader.Win32.Small.pa
Fecha: 19/jul/03
Plataforma: Windows 32-bit
Caballo de Troya multicomponentes, que extrae y ejecuta un archivo ejecutable incluido en un script VBS (Visual Basic Script).
El troyano puede arribar en un mensaje con formato HTML, o descargado de una página Web HTML o PHP.
Una vez que se ejecuta, crea los siguientes archivos en la carpeta de Windows:
c:\windows\msrt32.dll
c:\windows\sachost.exe
c:\windows\sysini.ini
c:\windows\system\sachostc.exe
c:\windows\system\sachosts.exe
NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", etc.).
También agrega la siguiente entrada en el registro para ejecutar al troyano en cada reinicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Onluna Sarvice = c:\windows\sachost.exe
El troyano examina la existencia de una determinada ventana. Si existe, no hace nada más. Si no existe, la crea y se registra a si mismo como servicio. Abre un puerto para quedar a la espera de comandos enviados por un atacante remoto.
El keylogger (MSRT32.DLL), es invocado por el troyano, quien también ejecuta los archivos SVCHOSTC.EXE y SVCHOSTS.EXE, que son utilidades legítimas, no maliciosas (un proxy y un servidor freeware). Borra los enlaces (URL) del caché de Windows, y se engancha a las funciones del teclado, para interceptar las teclas pulsadas.
El troyano también puede mostrar una ventana que simula ser la página de acceso a una cuenta de un banco en Internet. La información capturada en esta falsa pantalla, y lo ingresado vía teclado desde que se ejecutó el keylogger, es enviado en un correo electrónico a una dirección predeterminada, vía SMTP.
El troyano puede conectarse a un determinado sitio Web, y además, puede descargar archivos desde Internet, y luego ejecutarlos en la máquina infectada.
Más información:
http://www.vsantivirus.com/tofger-aa.htmW32/Gaobot.AZT. Se copia como "videons32.exe"Nombre: W32/Gaobot.AZT
Tipo: Gusano de Internet y caballo de Troya
Alias: Gaobot.AZT, Agobot.AZT, W32.Gaobot.AZT, WORM_AGOBOT.GEN, Backdoor.Agobot.gen, W32/Gaobot.worm.gen, W32.HLLW.Gaobot.gen
Fecha: 19/jul/04
Plataforma: Windows NT, 2000 y XP
Puertos: TCP/135, TCP/445, TCP/80
Tamaño: 159,823 bytes (FSG, ASPack, UPX)
Es un gusano que se propaga a través de redes compartidas, con contraseñas débiles (por defecto, pocos caracteres, etc.)
Un intruso pueda acceder en forma remota a la computadora infectada, a través del IRC.
Se ejecuta solo en Windows NT, 2000 y XP, e intenta robar contraseñas y claves de conocidos juegos de computadora.
Se copia en el sistema infectado con el siguiente nombre:
c:\windows\system32\videons32.exe
También copia la siguiente utilidad que no posee código viral. Es una herramienta legítima usada por el gusano para su propagación:
c:\windows\system32\npf.sys
Más información:
http://www.vsantivirus.com/gaobot-azt.htm
